Le 3 octobre 2016, la Commission d'accès à l'information (CAI) rendait public son rapport quinquennal 2016, intitulé « Rétablir l'équilibre », concernant l'application de la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels et de la Loi sur la protection des renseignements personnels dans le secteur privé (ci-après la « Loi du secteur privé »). Parmi les 67 recommandations proposées au Gouvernement du Québec, 10 recommandations ont particulièrement attiré notre attention et pourraient avoir une incidence importante pour les organisations du secteur privé ayant des activités au Québec.

Obligation de responsabilité des entreprises et création de la fonction de responsable de l'accès et de la protection des renseignements personnels

Reprenant une recommandation contenue dans son rapport quinquennal de 2011, la CAI recommande à nouveau de modifier la Loi du secteur privé de façon à inclure une obligation de responsabilité des entreprises. Cette obligation de responsabilité serait assortie de la création de la fonction de responsable de l'accès et de la protection des renseignements personnels dans le secteur privé, et la diffusion publique de son nom et de ses coordonnées. Il convient de mentionner que certaines lois canadiennes en matière de protection des renseignements personnels, notamment la Loi sur la protection des renseignements personnels et les documents électroniques (ci-après la « LPRPDE ») incluent déjà le principe de responsabilité des entreprises et la désignation d'un responsable de l'accès et de la protection des renseignements personnels.

De la notion de dossier à la finalité de la collecte

Devant la collecte et l'usage croissant d'images captées par caméra de surveillance ou de mégadonnées conservées et utilisées par des entreprises, les obligations actuelles des entreprises relativement à la constitution et tenue de dossiers ne paraissent plus adaptées à ces nouvelles réalités. En effet, malgré qu'elles soient tenues de le faire, bien des entreprises ne conservent pas nécessairement les renseignements personnels d'individus qu'elles détiennent dans un dossier identifié au nom de la personne concernée. Devant ce constat, la CAI propose de retirer la notion de « dossier » de la Loi du secteur privé et d'articuler les obligations des entreprises autour de la finalité de la collecte des renseignements personnels. Un tel changement aurait notamment pour objectif de limiter l'utilisation des renseignements personnels aux seuls usages ayant motivé leur traitement, en plus d'empêcher une « réutilisation généralisée » de ces renseignements à des fins étrangères à la raison initiale pour laquelle ils avaient fait l'objet d'une collecte auprès de la personne concernée. Concrètement, l'article 8 de la Loi du secteur privé serait modifié afin de préciser le moment où l'information doit être donnée à la personne concernée (selon que l'information est colligée auprès d'elle ou d'un tiers, à son insu ou non); d'y inclure une obligation d'informer la personne des renseignements personnels qui seront recueillis et des moyens par lesquels ils seront recueillis; et de s'assurer cette information soit claire, compréhensible et accessible quel que soit le support utilisé pour recueillir les renseignements personnels.

Exclusion des renseignements des employés de la notion de renseignements personnels

Actuellement, la Loi du secteur privé ne prévoit pas d'exception pour les renseignements ou contact d'affaires ou les renseignements des employés, contrairement à la législation du secteur privé en vigueur au fédéral, la LPRPDE, ainsi que les lois provinciales sur la protection des renseignements personnels dans le secteur privé (« lois PIPA ») de l'Alberta et de la Colombie-Britannique. La CAI recommande de modifier la Loi du secteur privé afin qu'elle prévoie que les renseignements liés à l'exercice de fonctions dans une entreprise ne sont pas des renseignements personnels. En l'absence d'exclusion de ces renseignements de la définition de renseignement personnel, certaines décisions ont conclu à leur caractère confidentiel, sans égard au contexte de leur utilisation ni considération pour les attentes raisonnables concernant la vie privée de ces employés. La CAI propose donc que soient exclus certains renseignements d'employés liés à l'exercice de leurs fonctions dans une entreprise, par exemple le nom, le titre, la fonction, l'adresse (postale et électronique) ou le numéro de téléphone ou de télécopieur d'un employé sur son lieu de travail.

Ces recommandations auraient, selon nous, pu aller plus loin et prévoir également que les employeurs n'ont pas à obtenir le consentement de leurs employés en ce qui a trait aux renseignements qui sont raisonnablement nécessaires dans le cadre de la gestion de l'employé, et ce, comme c'est le cas sous les lois PIPA de la Colombie-Britannique et de l'Alberta, ainsi qu'en vertu des récents amendements à la loi fédérale LPRPDE,1 tant que ces employés sont informés des pratiques de l'employeur.

En vertu de l'article 14 de la Loi du secteur privé, « Le consentement à la collecte, à la communication ou à l'utilisation d'un renseignement personnel doit être manifeste, libre, éclairé et être donné à des fins spécifiques (...) ». Il y avait une certaine incertitude quant à savoir si la notion de consentement « manifeste » devait être interprétée comme étant toujours un consentement explicite (ou de type « opt-in »). Ceci impliquerait que, contrairement à la LPRPDE ou aux PIPAs de l'Alberta et de la Colombie-Britannique qui incluent une notion de consentement implicite, plus particulièrement dans certaines situations impliquant des renseignements non sensibles, la Loi du secteur privé n'offrirait aucune flexibilité quant à la forme du consentement. La CAI précise dans ce rapport que le consentement manifeste signifie qu'il ne doit laisser aucun doute quant à la volonté qui y est exprimée, et ce, quel que soit le moyen utilisé pour l'exprimer. La CAI précise également que ce consentement peut donc être explicite ou implicite. Quoique plusieurs entreprises utilisaient nécessairement le consentement implicite au Québec, cette précision de la CAI est utile car elle enlève toute incertitude à cet égard et confirme la légalité des pratiques déjà en place au sein de plusieurs entreprises utilisant un consentement de type implicite dans certains contextes impliquant des renseignements non sensibles.

Pour la CAI, des conséquences préjudiciables sont susceptibles de découler de la divulgation ou de l'utilisation de certains renseignements sensibles, comme l'origine raciale ou ethnique, les croyances, les renseignements concernant la santé ou la vie sexuelle et les renseignements financiers fournis aux fins de l'impôt. De même, des renseignements d'une autre nature pourraient également devenir sensibles dans la mesure où ils sont utilisés pour cibler un groupe d'individus vulnérables, par exemple les jeunes, ou s'ils sont susceptibles d'entraîner de la discrimination ou la stigmatisation d'un groupe de personnes. La CAI recommande donc de modifier la Loi du secteur privé de façon à prévoir que la communication de renseignements sensibles ou leur utilisation à d'autres fins qu'à celles de leur collecte ne soit possible qu'avec le consentement explicite de la personne concernée ou tel qu'autorisé par la loi. Cette exigence se trouve déjà dans d'autres législations canadiennes. Finalement, la CAI recommande également d'encadrer davantage la collecte et l'utilisation des renseignements personnels concernant les jeunes.

Dans le même ordre d'idées, la CAI recommande de modifier la Loi du secteur privé de façon à ce que le consentement puisse être retiré en tout temps, sous réserve de restrictions prévues par la loi. Le libellé actuel de la Loi du secteur privé prévoit que le consentement « ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé. » Or, contrairement à plusieurs lois canadiennes et étrangères en matière de protection des renseignements personnels dans le secteur privé, la Loi du secteur privé ne contient aucune disposition précisant que la personne concernée peut retirer son consentement avant le terme pour lequel il a été donné.

Devant certaines préoccupations relativement à la possibilité que des individus se voient demander de communiquer les résultats de leurs tests génétiques à des fins non médicales, comme pour souscrire à une assurance ou pour faire une demande d'emploi, la CAI propose également de légiférer afin d'interdire la collecte, l'utilisation et la communication de renseignements personnels à des fins autres que médicales, scientifiques ou judiciaires. Pour la CAI, dans l'état actuel des connaissances, les enjeux soulevés en matière de santé par l'utilisation des tests génétiques à des fins d'assurance militent en faveur de leur interdiction. De la même façon, la CAI est d'avis que la perspective que des renseignements génétiques soient utilisés soulève des enjeux sociétaux trop importants pour qu'il soit permis aux employeurs de les obtenir et ce, même s'ils respectent les paramètres établis par la Charte québécoise des droits et libertés. Pour cette raison, la CAI invite le législateur à interdire également la collecte et l'utilisation de renseignements génétiques dans un contexte d'emploi.

Devant le recours de plus en plus fréquents aux renseignements de nature biométriques, comme les empreintes digitales, la morphologie de la main, la reconnaissance oculaire, facile ou vocale, la CAI soulève plusieurs enjeux et propose plusieurs recommandations visant à protéger ces renseignements. Plus particulièrement, la CAI recommande de référer, dans la Loi du secteur privé, aux dispositions de la Loi concernant le cadre juridique des technologies de l'information concernant la biométrie. Cette dernière impose à toute entreprise du secteur privé qu'elle obtienne le consentement de la personne concernée, qu'elle minimise la collecte de caractéristiques ou de mesures biométriques, qu'elle n'en saisisse pas à l'insu de la personne concernée, qu'elle respecte la finalité pour laquelle les caractéristiques ou les mesures biométriques ont été saisies et qu'elle les détruise lorsque les raisons pour lesquelles elles ont été collectées n'existent plus. En outre, la CAI recommande d'ajouter une obligation selon laquelle la déclaration de création d'une banque de caractéristiques ou de mesures biométriques doit être déposée à la CAI 60 jours avant sa mise en service.

Dans une recommandation qui pourrait avoir un impact important pour les entreprises, la CAI propose également d'obliger les entreprises qui envisagent d'implanter un procédé permettant de saisir des caractéristiques ou des mesures biométriques à faire une évaluation préalable des risques et des impacts sur la vie privée et sur la protection des renseignements personnels avant la mise en activité du système et à en effectuer un suivi tout au long de son utilisation. Finalement, la CAI suggère d'établir des mesures d'entreposage et de conservation des caractéristiques ou mesures biométriques propres à assurer leur confidentialité. Plus particulièrement, ces mesures pourraient, lorsque la technologie le permet, prendre la forme d'une anonymisation obligatoire et irréversible des caractéristiques ou des mesures biométriques immédiatement après qu'elles aient été collectées (la conversion de l'image de la donnée biométrique brute en formule codée peut être utilisée à cette fin); de la destruction obligatoire de la caractéristique ou de la mesure originale brute une fois le processus d'anonymisation terminé; de l'obligation d'utiliser un support externe, individuel ou portable, pour la conservation des caractéristiques ou des mesures biométriques anonymisées, sous le contrôle de la personne concernée; et de l'imposition de mesures prévoyant que la base de données soit locale plutôt que centralisée, lorsque sa création est absolument nécessaire.

Déclaration obligatoire d'incidents de sécurité portant sur des renseignements personnels

La CAI insiste également sur l'importance d'inclure, dans la Loi du secteur privé, une disposition visant à obliger les organisations de gérer de façon transparente les incidents de sécurité portant sur des renseignements personnels. Plus spécifiquement, la CAI recommande de modifier la Loi du secteur privé afin que l'obligation de déclarer à la CAI les incidents de sécurité portant sur des renseignements personnels y soit ajoutée et définir les conditions et les modalités de cette obligation de déclaration. Comme le note la CAI, une telle obligation permettrait que la Loi du secteur privé demeure essentiellement similaire à la LPRPDE lorsqu'entreront en vigueur les dispositions du projet de loi S-4 concernant les atteintes aux mesures de sécurité adoptées par le Parlement canadien en juin 2015. En outre, la CAI recommande de modifier la Loi du secteur privé afin que les entreprises soient obligées de notifier les personnes concernées lors de la survenance d'un incident de sécurité portant sur des renseignements personnels. Finalement, la CAI propose de modifier la Loi sur le secteur privé afin que ses pouvoirs d'intervention en matière d'incidents de sécurité portant sur des renseignements personnels soient renforcés et qu'elles lui attribuent un pouvoir d'émettre des ordonnances visant à protéger les droits des personnes concernées, selon des critères similaires à ceux d'une ordonnance de sauvegarde, ainsi qu'un pouvoir d'ordonner la remise ou la destruction des renseignements personnels aux personnes qui sont en possession de ceux-ci sans droit.

À l'heure actuelle, la Loi du secteur privé oblige les organisations à s'assurer que lorsqu'ils transfèrent des renseignements personnels hors du Québec, ceux-ci reçoivent la même protection que s'ils étaient demeurés au Québec. Or, en l'absence de critères clairement définis à vérifier, il est difficile pour les organisations appelées à communiquer des renseignements personnels à des tiers à l'extérieur du Québec d'évaluer l'équivalence des États auxquels sont soumis les tiers qui reçoivent les renseignements personnels. Devant ce constat, la CAI recommande de modifier la Loi du secteur privé afin que les entreprises soient obligées de réaliser une analyse des impacts et des risques concernant la protection des renseignements personnels avant toute communication de renseignements personnels à l'extérieur du Québec. Ce type d'analyse et d'évaluation de la loi étrangère peut, selon nous, s'avérer coûteux et complexe, sans nécessaire être efficace.2 De plus, il serait souhaitable que la CAI confirme qu'il est possible pour une entreprise de transférer des renseignements personnels à l'intérieur du Canada (surtout si les renseignements sont gérés par une même entreprise qui a des opérations à travers le pays), sans devoir prendre des mesures additionnelles de protection.

De plus, la CAI suggère de modifier cette même loi afin que les entreprises soient obligées de conclure un contrat avec l'entité publique ou privée à laquelle les renseignements personnels seront communiqués ou confiés et d'y inclure les mesures requises pour que les impacts et les risques identifiés dans l'analyse soient atténués. En pratique, il semblerait que les entreprises qui transféraient des renseignements personnels à l'extérieur du Canada interprétaient déjà l'article 17 de la Loi du secteur privé comme exigeant de ces dernières qu'elles concluent un contrat prévoyant que l'entreprise qui reçoit les renseignements personnes s'engage à utiliser des mesures de sécurité adéquates.

Bien qu'il s'agisse de recommandations, il est à prévoir que plusieurs de ces propositions seront proposées et potentiellement adoptées par le Gouvernement du Québec. En effet, la CAI mentionne, à plusieurs reprises dans son rapport, l'importance d'une harmonisation entre les dispositions du secteur public et celles du secteur privé. Selon la CAI, il est injustifiable que plusieurs dispositions de la Loi du secteur public confèrent davantage de protection aux renseignements personnels que celles du secteur privé. En outre, la question de l'adéquation avec l'Europe devrait prendre de plus en plus d'importance, particulièrement dans la foulée de l'avis consultatif 7/2014 concernant l'adéquation de la Loi du secteur privé à la Directive européenne émise par le groupe de travail Article 29 sur la protection des données et l'entrée en vigueur de la nouvelle Directive européenne en mai 2018. Il est donc à prévoir que la Loi du secteur privé sera modifiée dans un avenir rapproché pour répondre à ces nouvelles préoccupations.